أعلنت مجموعة الـ Cl0p للـ ransomware، المعروفة بهجماتها البارزة بما في ذلك انتهاك سلسلة التوريد MOVEit في عام 2023، على موقعها في الويب المظلم لتسريب البيانات أنها استغلت ثغرة zero-day في نظام Oracle E-Business Suite. هذا البرنامج المبني على جافا لتخطيط موارد المؤسسة يُستخدم على نطاق واسع من قبل الشركات العالمية لإدارة العمليات والمالية وموارد الإنسان.

وفقًا للتقارير، حصلت Cl0p على وصول غير مصرح به إلى النظام، مستخرجة بيانات مثل سجلات العملاء والتفاصيل المالية والمعلومات الشخصية من المنظمات التي تعتمد على الـ suite. بدأت المجموعة في الاتصال بالضحايا مباشرة، محذرة إياهم من سرقة البيانات وعرض الامتناع عن النشر مقابل دفع فديات. قالت إحدى المنشورات على موقعهم: 'لقد اخترقنا Oracle E-Business Suite وسرقنا بياناتكم—ادفعوا أو سننشرها.'

يبدو أن الانتهاك ناتج عن ثغرة غير مصححة في تطبيق Oracle، تسمح بتنفيذ كود عن بعد. يشير باحثو الأمن إلى أن Cl0p استهدفت عدة مزودي برمجيات هذا العام كجزء من حملة ابتزاز، بعد انتهاء صلاحية براءة اختراع لأداة تشفير بيانات حدت سابقًا من عملياتها.

لم يتم الكشف عن جدول زمني محدد للاختراق الأولي، لكن الادعاءات ظهرت في أوائل يوليو 2024. بينما قدمت Cl0p لقطات شاشة كدليل، بما في ذلك قوائم الملفات من قواعد البيانات المتضررة، إلا أن Oracle بقيت صامتة حول الأمر. يحث خبراء الأمن السيبراني الشركات التي تستخدم E-Business Suite على مراقبة الأنشطة غير العادية وتطبيق أي تصحيحات متاحة فورًا.

يبرز هذا الحادث المخاطر المستمرة في أمن سلسلة التوريد، حيث يمكن للثغرات في البرمجيات الخاصة بالأطراف الثالثة أن تعرض مستخدمين عديدين في الأسفل للخطر. هجمات Cl0p السابقة أثرت على كيانات مثل British Airways ووزارة الطاقة الأمريكية، مما أدى إلى تعريض بيانات كبيرة وتدقيق تنظيمي.